手机交友 App 成为许多人认识新对象的管道,拿出手机轻轻一滑,照片、基本资料都能大致掌握,但这同时也代表了平台存有从兴趣、照片、身高体重甚至性取向等个人私密资讯。
受全球欢迎、活跃用户数达 5 千万的交友软件 Tinder,最近就被一家安全公司发现部分资讯缺乏 HTTPS 加密机制,若被有心人士利用,就能远端掌握用户交友习惯及使用轨迹,不仅隐私可能受侵犯,严重的话甚至会用做亲密关系间勒索的筹码。
Tinder 爆出漏洞,滑过对象统统能掌握
以色列特拉维夫的 App 安全公司 Checkmarx 研究人员发现,Tinder 手机 App 内的资料虽然都受 HTTPS 加密保护,但缺乏对照片、使用轨迹、配对结果,3 项资讯的基础 HTTPS 加密机制。
研究发现任何 iOS、Android 用户只要跟研究人员使用同一个 Wi-Fi ,用户曾浏览的照片、约会对象全都可以一清二楚,甚至可将自己的照片插入配对排序。研究人员警告,这样的漏洞除了会有隐私被偷窥的疑虑,甚至私密资讯外泄可能遭有心人士勒索的风险。“我们可以完全模仿用户在他手机看到的画面。”Checkmarx 安全研究主管 Erez Yalon 表示,这项漏洞可掌握所有用户在 Tinder 的使用轨迹,甚至是个人性取向等许多私密资讯。
为了测试 Tinder 有多脆弱,Checkmarx 团队打造一款叫“Tinder Drift”的软件,只要接上其他 Tinder 用户正在使用的 Wi-Fi,就可在电脑几乎重建用户使用的情境,缺乏 HTTPS 加密的 Tinder 除了可让人远端掌握用户浏览过的档案,研究人员还发现,即便是在加密模式下,仍可透过辨识软件的不同字节(bytes),来判断用户的使用轨迹。
▲ 以色列的 App 安全公司 Checkmarx 研究人员发现,Tinder 的安全漏洞让有心人士掌握用户的使用轨迹。(Source:shutterstock)
例如,在 Tinder 向左滑拒绝对象是 278 bytes、往右滑喜欢是 374 bytes,如果双方配对成功就是 581 bytes,只要透过这些规律,再搭配未加密资讯撷取的图片,TinderDrift 就能分辨用户在 Tinder 操作的结果,只要被有心人士将两项漏洞组合在一起,就会构成严重的隐私问题。
不过用户可以稍微喘口气的是,研究人员发现这个漏洞仅能掌握用户配对的过程,一旦配对完后双方传讯息的内容很安全,无法攻破。
▲ Checkmarx 研究人员展示 TinderDrift 如何突破 Tinder 的漏洞。
HTTPS 能确保资讯传输私密性
Checkmarx 团队表示,他们 2017 年 11 月已经通知 Tinder 发现的问题,但截至目前公司仍未修复这项漏洞。Tinder 发言人表示:“如同多数科技公司,我们一直在努力抵抗恶意骇客。”并表示网页版的 Tinder 有受 HTTPS 加密保护,并打算将保护层面扩大,正在努力对手机 App 照片进行加密工作。
HTTPS(Hypertext Transfer Protocol Secure,缩写 HTTPS) 是超文本传输安全协定的意思,这个协定最早在 1994 年首次由网景公司(Netscape)提出,HTTPS 主要的功能是在不安全的网络上建立一个安全的通道,并在使用加密套件、被信任服务器凭证的情况下提供防护,确保网页在传输过程中不被变造或窜改。HTTPS 广泛使用在交易支付和企业传输敏感讯息的系统,并在 2010 年开始广泛用于保护所有类型网站的账户、用户身份以及私密性。
▲ 缺乏 HTTPS 加密机制,若被有心人士利用,就能远端掌握用户交友的习惯以及使用轨迹。(Source:pixabay)
而台湾的 HTTPS 使用呢?2017 年 10 月,民进党立委余宛如曾表示,台湾目前 1,089 个政府网站,仅有 11.2% 使用 HTTPS,甚至总统府、国安局、外交部这类高度需要安全防护的网站皆未使用 HTTPS,因此饱受批评;另外,台北市政府 2017 年推出的一站式缴费平台 pay.taipei ,推出不久就被法国网域服务供应商 Gandi.net 亚洲区总经理 Thomas Kuiper 发现 pay.taipei 的 App 没有使用 HTTPS,甚至密码还以纯文字传送,安全度受质疑,事后台北市资讯局也紧急应变修复这项缺失。
Checkmarx 建议,未来 Tinder 不仅要将照片加密,还必须修补配对过程的指令漏洞,让每条指令看起来都一样,防止被有心人士利用,并提醒在 Tinder 释出修补前,用户必须当心 App 的交友轨迹有泄露的风险。
(本文由 数位时代 授权转载;首图来源:Unsplash)
